Bonjour a tous,
 
Je fais appel a vous pour avoir votre avis sur la configuration des postes de travail.
 
Quand je suis arrivé chez notre client, il avait un parc d'environ 500 machines, et c'était un gros bazar:
 
-Aucune dans un AD
-Toutes avec les droits administrateur
-Pas de logiciel d'inventaire
-Mises a jour désactivées
-Pare feu désactivé
-Beaucoup de machines sans antivirus.
 
Nous avons remis ça d'équerre:
 
-Mise en place d'un nommage commun
-Mise en place d'un antivirus commun
-Activation des mises a jour Windows
-Suppression des droits admin
-Activation d'un compte Administrateur local
-Activation du pare feu
-Installation d'un logiciel d'inventaire.
 
Tout ceci nous a permis d'avoir un parc un peu plus "propre".
 
Néanmoins, je pense que l'on peut aller plus loin en mettant d'autres choses en place, de façon a etre encore plus "pro":
 
-Mise en place d'un fond d'écran commun
-Mise en place de favoris communs
-Mise en place de raccourcis communs sur le bureau
-Mise en place d'un WSUS
-Mise en place de l'outil Bginfo
...
 
Je cherche si je ne peux pas ajouter d'autre chose, mais j'ai aussi besoin de votre avis sur deux points:
 
-Compte Administrateur local : Comme nous avions et avons encore des postes en XP / 7, sur les postes en XP, nous mettions juste un mot de passe au compte Administrateur local.
Sur les postes en W7, nous activions le compte administrateur local et paramétrions un mot de passe.
Avec Windows 10, apparemment le compte Administrateur local n'est même plus activable, sauf a passer par une ligne de commande.
 
On peut au pire faire créer une GPO qui crée un compte "Admin" local sur toutes les machines, mais je pense que avoir un compte "Administrateur" est plus parlant pour nous tous au lieu d'un compte "Admin".
 
-BgInfo : As t-on fait mieux depuis pour remonter facilement a l'utilisateur le nom de sa machine, son adresse IP, son OS... ?
 
-WSUS : Les postes sont réparties en agences, avec un lien SDSL a faible débit, j'ai peur qu'en activant le WSUS, après avoir approuvé ma mise a jour, le lien de mon site sur lequel se trouve le WSUS sature car occupé a envoyer la mise a jour a chaque poste distant.
Ne peut-on pas faire comme avec l'antivirus, définir un poste relais ?  
Ou la solution est toute trouvée, ce sera branchcache ?
 
Merci pour votre aide.

1/ Vire tes XP, ils ont rien à faire là
2/ Non on utilise jamais le compte administrateur built-in, on en crée toujours un autre pour la simple raison que le SID du compte admin est fixe et toujours utilisé pour passer de postes en postes. Donc on le renomme et désactive. Les audit permettent de voir des connexions échouées sur le compte et détecter des attaques
3/ BGInfo est toujours très utilisé, sinon un petit programme présent sur le bureau ou le nouveau menu démarrer peut faire l'équivalent
4/ Si les postes récupèrent leur maj depuis Internet ça passe pas par le SDSL mais par une ADSL avec un plus gros débit descendant ? Au pire tu configure WSUS pour la gestion des approval des maj mais laisse le poste dl les maj direct des serveurs MS. Sinon oui si tu as droit à branchcache va y. Sur windows 10 tu as par contre la fonctionnalité de partage de maj intégré. Faut voir selon ta topologie réseau si c'est à garder ou pas.
Pour les fonds d'écran, favoris, raccourcis, as you want, perso j'aime pas ça .

 
par gpo c'est facile mais il faut mettre des PC dans un domaine !

Merci pour ton retour.
 
Pour les XP, ce sera fini cette année, on a prévu un plan de renouvellement spécifique.
 
2/OK, je comprends que le compte Administrateur Built-in possède toujours le même SID sur toutes les machines, mais quel est le problème ?
 
3/Je pense que je vais partir sur BGInfo
 
4/Chaque site ne possède pas sa propre sortie internet, mais on a une sortie internet mutualisée dans notre MPLS.
Pour le moment les postes récupèrent les mises a jour via Internet, d'autres ont les mises a jour carrément désactivées.

 
2/ Le problème est que c'est un compte connu d'avance et donc attaqué en priorité.
3/ tu peux aussi utiliser un logiciel de gestion de parc, type OCS Inventory. Ainsi tu auras une BDD de toutes les infos de tes PCs, serveurs et +. Pas besoin de se déplacer jusqu'au PC ou de demander à son utilisateur les infos.
4/ tu peux avoir des serveurs WSUS sur sites qui se synchronisent avec le WSUS maître sur le site principal.

 
Nous commençons a déployer Windows 10, mais je voulais avoir votre retour:
 
-Au démarrage du poste nous désactivons tous les paramètres concernant la localisation
-Que pensez vous de désactiver les jeux Xbox ? SI oui, comment faire ?
-Que pensez vous de ce lien http://www.papergeek.fr/windows-10 [...] echer-6333
 
Nous avons toutes nos agences interconnectées avec des liens MPLS a 2Mbps, avec une dizaine de postes derrière, donc un lien a "faible débit".
 
Merci de votre aide.

ok mais quelle infra?
AD?
Si oui --> gpo
sinon bonne chance pour gèrer 500 machines de manière identique !
Les jeux xbox n'ont rien à faire sur un pc privé, tout comme candy crush, les apps actu, bourse,... tu les vires avant de créer ton image master que tu déploiera sur les 499 autres pc!

Un script qui peux t'aider pour faire ton master :  
 
https://github.com/W4RH4WK/Debloat- [...] t-apps.ps1
 
Voir les autres scripts du même auteur aussi.

tout bon ça, merci !